O mundo em que vivemos hoje é caracterizado pela grande quantidade de informações, mas também pela ampla acessibilidade a elas, principalmente no âmbito digital. Com o consumo massivo dessas informações, surgem consequências decorrentes das formas de utilização dos dados conhecidos. Desta maneira, a discussão acerca do tratamento de dados pessoais, dos deveres, da responsabilidade, do uso lícito e ilícito dessas informações se conecta com os institutos legais da proteção de dados e da proteção ao consumidor: LGPD e CDC.
Tal tema tornou-se relevante a partir do momento em que a relação do consumidor e a proteção de dados ganhou mais força dentro da economia e da sociedade da informação. O armazenamento de dados pessoais dos consumidores trouxe às empresas uma maior segurança, como por exemplo, para a fidelização do cliente ou até mesmo para a diminuição da inadimplência.
Embora as novas tecnologias de armazenamento de dados pareçam inofensivas aos consumidores, elas frequentemente envolvem dados sensíveis, além de possibilitarem, sobretudo, o tratamento dos dados pessoais de forma massificada e, muitas vezes, irreversível.
A consequência dessa massificação é a disponibilidade infinita e incontrolável, de forma indiscriminada, dos dados pessoais dos consumidores aos fornecedores por meio das redes de computadores, o que leva tanto ao aumento de bens e serviços personalizados quanto à discriminação ao consumidor no mercado.
Nesse viés, o texto da Lei Geral de Proteção de Dados (LGPD) regulamenta a forma como os dados pessoais fornecidos na relação de consumo devem ser armazenados e tratados, essencialmente, nos meios digitais. Por meio da LGPD, eles são incluídos no conceito de direito à privacidade e, por meio do Código de Defesa do Consumidor (CDC), disciplina-se quem pode ter acesso aos dados pessoais, de que forma será esse acesso e quais são os limites de uso por terceiro.
Tais legislações representam, sem dúvidas, um avanço considerável para a tutela dos direitos fundamentais do cidadão na figura de consumidor dentro da sociedade da informação. Isso porque a lei transformou o consumidor em agente principal das decisões acerca do uso e dos limites de seus dados pessoais.
Se por um lado a proteção ao consumidor reequilibra a relação entre ele e os fornecedores de bens e serviços dentro do mercado de consumo, por outro lado a proteção de dados reequilibra a relação do titular com o controlador dos dados pessoais.
Apesar do exposto, a única expressão marcante da concretização do reconhecimento da proteção de dados pessoais como um direito fundamental é uma decisão proferida pelo Supremo Tribunal Federal. Tal parecer suspendeu a eficácia da MP 954/2020 e referendou a violação ao direito constitucional à intimidade, à vida privada e ao sigilo de dados nas Ações Diretas de Inconstitucionalidade nº 6387, 6388, 6389, 6393 e 6390. A referida MP obrigava as operadoras de telefonia a repassarem ao IBGE dados identificados de seus consumidores de telefonia móvel, celular e endereço.
Nesse contexto, busca-se analisar a relevância da proteção de dados pessoais nas relações de consumo com foco nos mecanismos legais existentes, abordando a conexão dessas fontes entre os sistemas de proteção de dados e a proteção do consumidor, apresentando, inclusive, as vantagens dessa garantia para o sistema jurídico brasileiro, com o propósito de tutelar a liberdade e a privacidade a todos.
Relações consumeristas: a conexão dos mecanismos legais na proteção de dados pessoais e na proteção do consumidor
É incontroverso afirmar que estamos vivendo a quarta revolução industrial, que transcende fronteiras e fez da globalização e da internacionalização da economia uma realidade atual. Com isso, tanto o desenvolvimento científico como o tecnológico estão proporcionando profundas e intensas transformações na sociedade a todo instante.
Entretanto, o desenvolvimento mais marcante desta era seja, talvez, a internet. Com informações instantâneas e novas formas de comunicação, essa transformação poderá ser conhecida por seu poder integrativo entre tecnologias digitais, físicas e biológicas, chamada de “revolução do conhecimento e da comunicação”.
A realidade que se apresenta, portanto, é a de um mundo integrado, com economia globalizada e acesso a um grande volume de informações, que, como consequência, traz várias formas de utilização de dados pessoais. Tais dados, por sua vez, dão origem a aspectos jurídicos de suma relevância ligados aos direitos da personalidade, como a privacidade individual e o mau uso ou o uso não autorizado dos dados fornecidos nas relações de consumo, principalmente em setores que lidam com dados sensíveis, como financeiro, securitário, saúde, creditício, atacado, varejo, etc.
Assim, o tratamento desses dados ganhou destaque como consequência da ampla virtualização do comércio, na qual os consumidores não necessitam comparecer fisicamente em determinada loja para comprar o que desejam. Diante das facilidades oferecidas tanto para as empresas quanto para os consumidores, a prática da compra online está se difundindo rapidamente, tornando-se cada vez mais usual.
Segundo dados da Visa Consulting & Analytics, cerca de 70 mil empresas entraram para o e-commerce desde o início da pandemia, em 2020[1], e esse número não para de crescer. Em 2022, a Associação Brasileira de Comércio Eletrônico (ABCOMM) registrou a abertura de 36 mil lojas virtuais no Brasil, chegando à marca de 565.300 sites de comércio eletrônico registrados no país, representando um crescimento de 6,82% em relação a 2021[2].
Em razão desse crescente consumo online, floresce a discussão sobre o tratamento de dados, os deveres, a responsabilidade, a guarda e o uso lícito dessas informações, bem como a conexão entre os sistemas de proteção de dados e a proteção do consumidor.
Não obstante ao apresentado, destaca-se uma coincidência inusitada sobre os referidos institutos legais que se encontram no presente artigo: a LGPD entrou em vigor no ano de 2020, mesmo ano em que o Código de Defesa do Consumidor completou 30 anos[3]. De fato, o CDC sofreu diversas alterações – inclusive em decorrência do avanço da internet – e, apesar disso, não só resistiu como também enfrentou todos os desafios para assegurar os direitos dos consumidores, acompanhando a evolução da sociedade até o presente momento.
Em se tratando do armazenamento de dados decorrente de relações de consumo, não há dúvidas de que o consumidor é parte vulnerável em relação àquele que possui suas informações pessoais, surgindo daí o desequilíbrio da relação de consumo e, também, outras formas de negócio com uso indiscriminado por terceiros.
Foi por esse motivo que, por meio da Medida Provisória nº 869/2018, criou-se a ANPD (Autoridade Nacional de Proteção de Dados), destinada a fazer valer a LGPD no que concerne ao tratamento de dados pessoais, inclusive em meios digitais. Tais dados devem ser manuseados tanto pelas pessoas jurídicas de direito público como privado com atenção à proteção dos direitos fundamentais, notadamente a intimidade.
Atendendo aos anseios jurídicos, empresariais e da própria legislação que já contemplava, originalmente, a previsão desse caráter regulatório, o Brasil passa a estar alinhado às políticas públicas internacionais que visam gerar a proteção dos dados pessoais e da privacidade.[4] Neste sentido, a existência de uma autoridade nacional responsável pela proteção de dados pessoais é fundamental, pois trata-se de um órgão criado especificamente para concretizar a LGPD. Com isso, essa instituição torna-se o principal ator na promoção de políticas públicas e de regulação de privacidade e tratamento de dados pessoais[5].
Além disso, esse órgão também é responsável por resguardar a segurança jurídica, favorecendo empresas e consumidores, ou seja, todos aqueles que realizam operações de tratamento de dados pessoais e que deverão se adaptar às regras da LGPD. Atualmente, o contexto legal para a efetivação da proteção de dados pessoais nas relações consumeristas é estabelecido a partir da conexão entre os sistemas de proteção de dados e de proteção do consumidor. Isso porque:
O tratamento de dados pessoais, em particular por processos automatizados, é, no entanto, uma atividade de risco. Risco que se concretiza na possibilidade de exposição e utilização indevida ou abusiva de dados pessoais; na eventualidade destes dados não serem corretos e representarem erroneamente seu titular; em sua utilização por terceiros sem o conhecimento de seu titular, somente para citar algumas das hipóteses.[6]
A partir disso, surge a obrigação do uso de mecanismos que proporcionem ao consumidor a informação e o controle de seus próprios dados, assim como os dados de sua personalidade. Logo, a proteção de dados pessoais está intrinsecamente ligada à proteção da pessoa humana e, por isso, se trata de um direito fundamental:
Os dados pessoais, por definição, representam algum atributo de uma pessoa identificada ou identificável e, portanto, mantêm uma ligação concreta e viva com a pessoa titular destes dados. Os dados pessoais são a pessoa e, portanto, como tal devem ser tratados, justificando o recurso ao instrumental jurídico destinado à tutela da pessoa e afastando a utilização de um regime de livre apropriação e disposição contratual destes dados que não leve em conta seu caráter personalíssimo. Também destas suas características específicas deriva a consideração que, hoje, diversos ordenamentos jurídicos realizam, de que a proteção de dados pessoais é um direito fundamental – uma verdadeira chave para efetivar a liberdade da pessoa nos meandros da Sociedade da Informação.[7]
A proteção de dados pessoais surgiu para disciplinar o armazenamento e o uso de tais dados, com o intuito de dar ao consumidor uma segurança jurídica maior nas relações de consumo. Isso ocorre principalmente pelo fato de se viver em uma sociedade de constante transformação digital e porque os vazamentos de tais dados podem ser usados para diversas finalidades ilícitas e nocivas ao consumidor.
Analisando o texto do CDC, em seus artigos 43 e 44, é prevista a garantia ao consumidor do acesso e da possibilidade de solicitar a retificação de informações pessoais registradas pelos fornecedores. O diploma também prevê que o consumidor deve ser informado sobre a inclusão e o armazenamento de seus dados fornecidos, bem como a finalidade e o prazo estabelecido, além de determinar que a autorização para o tratamento de dados deve se dar de modo expresso e pelo titular.
Neste sentido, o parágrafo 6º do artigo 43 do CDC[8] estabelece que o tratamento de dados pessoais deve observar a boa-fé e garantir o livre acesso aos titulares para consulta fácil e gratuita, corroborando os princípios de informação e transparência tão essenciais ao direito do consumidor.
Já o artigo 18 da LGPD[9] concede ao titular dos dados uma série de direitos, incluindo a correção de dados e a eliminação dos dados pessoais tratados; o acesso aos dados; a portabilidade dos dados a outro fornecedor; as informações com quem os dados foram compartilhados; a revogação de consentimento; a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Outra conexão entre ambos os institutos legais é a questão do consentimento do proprietário em relação aos seus dados pessoais, inclusive quanto à forma de manifestar anuência ao tratamento e ao uso das respectivas informações, que necessita ser detalhada e transparente, nos termos do artigo 9º da LGPD[10]. A proteção de dados pessoais, por possuir um caráter mais amplo e atingir outras situações que não apenas o mercado de bens, serviços e consumo, é um mecanismo eficaz na proteção da privacidade do consumidor.
Nota-se, portanto, que a proteção dos dados pessoais ganhou maior importância após a vigência da LGPD, uma vez que os dados pessoais, mesmo que fornecidos e armazenados de forma digital, são tão válidos quanto os dados físicos da pessoa.
Apesar de instituídos os mecanismos de defesa em favor do referido direito fundamental, ainda há a necessidade de outros contornos que deverão ser delineados tanto pela jurisprudência como pela doutrina, acompanhados pelo avanço do direito e da tecnologia. Afinal, como mencionado anteriormente, a única expressão mais marcante da concretização do reconhecimento da proteção de dados pessoais é a decisão proferida pelo STF, que suspendeu a eficácia da MP 954/2020.
Na respectiva decisão, os ministros trataram a proteção de dados pessoais como um direito fundamental autônomo garantido pela Constituição Federal brasileira, que deve ser respeitado e intensificado por conta dos métodos e das técnicas complexas de processamento, responsáveis por agregar maiores riscos para a personalidade dos cidadãos. Neste sentido:
A autonomia do direito fundamental em jogo na presente ADI exorbita, em essência, de sua mera equiparação com o conteúdo normativo da cláusula de proteção ao sigilo. A afirmação de um direito fundamental à privacidade e à produção de dados pessoais deriva, ao contrário, de uma compreensão integrada do texto constitucional lastreada (i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do compromisso permanente de renovação da força normativa da proteção constitucional à intimidade (art. 5º, inciso X, da CF/88) diante do espraiamento de novos riscos derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do habeas data enquanto instrumento de tutela material do direito à autodeterminação informativa.[11]
Portanto, o reconhecimento da força normativa do direito fundamental à proteção de dados pessoais decorre da indivisibilidade da proteção à dignidade da pessoa humana diante da exposição dos indivíduos aos riscos de comprometimento da autodeterminação de informações nas sociedades.
É óbvio que, a partir dessa decisão do STF que reforçou a vitalidade da Constituição Federal brasileira em relação aos avanços tecnológicos, foi reconhecida a respectiva proteção de dados pessoais como um novo direito fundamental autônomo, a despeito da necessidade de outros delineamentos que deverão ser determinados tanto pela jurisprudência como pela doutrina.
Considerações finais
Os dispositivos legais, a doutrina e a jurisprudência vêm empreendendo esforços na interpretação dos direitos fundamentais, adequando-os ao nosso tempo e, assim, reconhecendo uma ligação direta aos direitos à privacidade e à liberdade de expressão. O objetivo único de tal ação é tutelar os dados pessoais dos cidadãos brasileiros de acordo com as transformações da sociedade atual.
A proteção das garantias individuais concedidas pela Constituição, como a privacidade e a liberdade, é uma medida que se impõe ao ente protetor, que é o Estado, principalmente ao se tratar de relações interpessoais qualificadas pela hipossuficiência de um perante o outro, como no caso das relações de consumo entre fornecedor e cliente.
Assim, a LGPD regulamenta a forma como os dados pessoais devem ser armazenados e tratados, essencialmente nos meios digitais. Ou seja, tal legislação inclui o conceito de direito à privacidade, assim como o direito do consumidor de determinar quem pode ter acesso aos seus dados pessoais, de que forma será esse acesso e quais são os limites de uso por terceiros.
No entanto, para a sua implementação, é necessária uma transformação cultural e comportamental, a fim de garantir a tutela de dados pessoais, com cada ator (controlador de dados e titular de dados) assumindo suas respectivas responsabilidades. Neste sentido, a conexão entre os sistemas de proteção de dados e a proteção do consumidor objetiva proteger o consumidor de um iminente desequilíbrio de poderes, principalmente com relação à tomada de decisão do consumidor e à influência do algoritmo sobre isso.
Desta forma, a proteção do consumidor visa reequilibrar a relação entre fornecedor e consumidor dentro do mercado de consumo, enquanto a proteção de dados pessoais se preocupa em reequilibrar a relação do titular com o controlador dos dados pessoais.
No que tange aos novos entendimentos do Supremo Tribunal Federal, não restam dúvidas de que ainda há uma longa caminhada a ser percorrida a fim de concretizar o reconhecimento da proteção de dados pessoais como um direito fundamental e personalíssimo de cada indivíduo.
Em suma, a constitucionalização da proteção dos dados pessoais, inclusive por meios digitais, deve ser acrescida à proteção da dignidade da pessoa humana, assegurando aos cidadãos, de modo geral, direitos e garantias fundamentais suficientes para terem liberdade e privacidade de usarem seus próprios dados pessoais da maneira que quiserem, sem sofrerem violações de suas informações pessoais. Tal medida visa evitar, assim, que os consumidores sejam vítimas de fraudes, atividades ilícitas e exposições não pertinentes ou não autorizadas de seus próprios dados.
Autoria de Mariana Tanaka e revisão de Heitor Cardoso
Contencioso Tributário
BLB Auditores e Consultores
Referências
_____. Disponível em: https://edrone.me/pt/blog/dados-ecommerce-brasil. Acesso em: 25 de jan. 2024.
_____. Disponível em: https://www.visa.com.br/sobre-a-visa/noticias-visa/nova-sala-de-imprensa/comercios-ticket-medio-vendas-online.html. Acesso em: 25 de jan. 2024.
<http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em 25 de jan. 2024.
BEZERRA, Maria Ruth B. Autoridade Nacional de Proteção de Dados Pessoais: a importância do modelo institucional independente para a efetividade da lei. Revista Caderno Virtual. IDP. V. 2, n. 44, abr./jun. 2019, p. 180. Disponível em: https://www.portaldeperiodicos.idp.edu.br/cadernovirtual/article/view/3828. Acesso: 25 de jan. 2024.
BRASIL. Código de Defesa do Consumidor. Lei n. 8.078, 11 de setembro de 1990. Disponível em:
DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Brasília: SDE/DPDC, 2010, p. 39.
SIMÃO FILHO, Adalberto. Regime jurídico do banco de dados – Função econômica e reflexos na monetização. In: Direito & Internet IV: Sistema de Proteção de Dados Pessoais (De acordo com a Lei n°. 13.709, de 14 de Agosto de 2018, e a Lei n°. 13.853, de 08 de julho de 2019, que converteu em lei a Medida Provisória n°. 869, de 27 de dezembro de 2018). São Paulo: Quartier Latin, 2019, p. 167
VITAL, Danilo. Gilmar: Pandemia não atenua, mas reforça necessidade de proteção de dados. Revista Consultor Jurídico. Disponível em: <https://www.conjur.com.br/2020-mai-07/pandemia-reforca-necessidade-protecao-dados-gilmar>. Acesso em: 29 de jan. 2024.
[1] Disponível em: https://www.visa.com.br/sobre-a-visa/noticias-visa/nova-sala-de-imprensa/comercios-ticket-medio-vendas-online.html. Acesso em: 25 de jan. 2024.
[2] Disponível em: https://edrone.me/pt/blog/dados-ecommerce-brasil. Acesso em: 25 de jan. 2024.
[3] BRASIL. Código de Defesa do Consumidor. Lei n. 8.078, 11 de setembro de 1990. Disponível em:
<http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em 25 de jan. 2024.
[4] SIMÃO FILHO, Adalberto. Regime jurídico do banco de dados – Função econômica e reflexos na monetização. In: Direito & Internet IV: Sistema de Proteção de Dados Pessoais (de acordo com a Lei n°. 13.709, de 14 de agosto de 2018, e a Lei n°. 13.853, de 08 de julho de 2019, que converteu em lei a Medida Provisória n°. 869, de 27 de dezembro de 2018). São Paulo: Quartier Latin, 2019, p. 167.
[5] BEZERRA, Maria Ruth B. Autoridade Nacional de Proteção de Dados Pessoais: a importância do modelo institucional independente para a efetividade da lei. Revista Caderno Virtual. IDP. V. 2, n. 44, abr./jun. 2019, p. 180. Disponível em: https://www.portaldeperiodicos.idp.edu.br/cadernovirtual/article/view/3828. Acesso: 25 de jan. 2024.
[6] DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Brasília: SDE/DPDC, 2010, p. 39.
[7] Ibidem.
[8] § 6º “Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.”
[9] Art. 18. “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;”
[10] Art. 9º “O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.”
[11] VITAL, Danilo. Gilmar: Pandemia não atenua, mas reforça necessidade de proteção de dados. Revista Consultor Jurídico. Disponível em: <https://www.conjur.com.br/2020-mai-07/pandemia-reforca-necessidade-protecao-dados-gilmar>. Acesso em: 29 de jan. 2024.
